1 июня

SalatStealer: стиллер крадет криптокошельки через YouTube

В ходе недавнего расследования специалисты обнаружили образец вредоносного программного обеспечения под названием SalatStealer, который распространяется через видео на YouTube. В ролике пользователям предлагают инструмент для брутфорса кошельков Bitcoin, однако на деле речь идет о стиллере, нацеленном на кражу чувствительных данных.

Кампания построена на эксплуатации людей, пытающихся восстановить потерянную криптовалюту. Жертв убеждают загрузить и запустить неизвестный binary file, замаскированный под средство восстановления, но фактически выполняющий функции вредоносного загрузчика.

Как работает схема заражения

Распространение начинается с загрузки архива, который извлекается с использованием простого пароля 1111. После распаковки запускается файл, идентифицированный как загрузчик SalatStealer. Именно он отвечает за инициацию загрузки вредоносных компонентов.

Одним из ключевых элементов цепочки заражения является Addon3.exe — он выполняет роль dropper для дополнительных вредоносных нагрузок. Таким образом, атакующие выстраивают многоступенчатую схему доставки, усложняя анализ и затрудняя выявление конечного вредоносного файла на раннем этапе.

Признаки сокрытия и доставки payload

Анализ загрузчика с помощью инструмента floss позволил выявить список URL-адресов, с которых загружается фактическое ВПО. Это указывает на преднамеренную попытку скрыть механизм доставки и усложнить обнаружение инфраструктуры кампании.

По данным расследования, SalatStealer использует базовые методы обфускации и расшифровки для маскировки своих функций. При этом исследователи отмечают: речь идет не о сложных техниках уклонения, а скорее об осознанно выбранном подходе, рассчитанном на обход стандартных средств защиты.

Что делает SalatStealer опасным

Хотя SalatStealer не относится к числу особенно сложных образцов ВПО, его эффективность обеспечивается прежде всего ставкой на социальную инженерию. Вредоносная кампания ориентирована на пользователей, которые находятся в уязвимом положении и ищут способы вернуть доступ к криптовалютным активам.

Основная цель такого стиллера — кража:

учетных данных пользователей;
информации о криптографических wallets;
других чувствительных данных, которые могут быть использованы в дальнейших атаках.

Подобный подход позволяет злоумышленникам получать доступ к ценным данным без необходимости применять продвинутые технические барьеры. Именно поэтому даже сравнительно простой стиллер может представлять серьезную угрозу.

Признаки более широкой экосистемы

Исследователи допускают, что SalatStealer может быть частью более крупной экосистемы стиллерных инструментов. Такая связь выглядит логичной: многокомпонентная схема, использование загрузчиков и dropper-файлов, а также инфраструктура с набором URL-адресов свидетельствуют о более масштабной и организованной кампании.

Ключевая особенность этой угрозы заключается не в технологической сложности, а в грамотном использовании доверия пользователей и интереса к теме Bitcoin-восстановления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: